Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 115, ИЮЛЬ 2008 г.

Лови момент!

Сергей «grinder» Яремчук (grinder@ua.fm, tux.in.ua)

Хакер, номер #115, стр. 115-118-1

Active Directory в Win2k8: резервирование и аварийное восстановление

Служба доменов Active Directory на порядок упрощает управление большой сетью, но в случае выхода из строя контроллера домена может стать источником головной боли. Опытный администратор предусматривает операции по резервному копированию и восстановлению AD еще на этапе развертывания.

Общие вопросы

Несмотря на довольно простое с виду управление, AD является очень сложной структурой, реализующей модель X.500/LDAP. В ней сохраняется вся важная информация об основных элементах сети: доменах, организационных единицах (OU), компьютерах, групповых политиках и прочее. Служба каталогов сама по себе весьма надежна, но любой сбой (например, выход из строя жесткого диска) приведет к нарушению работы всех связанных элементов.

Мероприятия, обеспечивающие безотказную работу AD, можно разделить на два этапа. При повседневной эксплуатации должен производиться постоянный мониторинг как сервера, где установлен контроллер домена, так и всего остального оборудования, работа которого может повлиять на функционирование и доступность. Это позволит найти и устранить неполадки до того, как они смогут проявить себя в полной мере. На этом этапе производится и резервное копирование.

При наличии нескольких контроллеров домена следует выполнять архивирование данных каждого. Нужно заранее продумать свои действия по восстановлению работоспособности AD. Не лишним будет проверить схему восстановления созданных резервных копий на тестовом сервере или виртуальной машине.

Изменения в Win2k8

Начиная с версии NT 3.5, для архивации и восстановления данных использовалась утилита NTBackup. В версии Win2k она была интегрирована со службой Removable Storage и планировщиком заданий, что позволяло автоматизировать процесс и упрощало работу администратору. Проблем с использованием NTBackup обычно не возникает. Настройки можно производить как в графическом варианте, так и запускать в командной строке, передав все нужные параметры:

> NTBACKUP backup systemstate /f "D:backup.bkf"

Впрочем, некоторые админы находят работу NTBackup непонятной и запутанной и предпочитают использовать для архивации софт сторонних разработчиков. Но теперь о NTBackup можно забыть. В Win2k8 ее заменила новая программа архивации данных, в которой используются совершенно иные технологии.

Отличий столько, что новую программу даже нельзя назвать аналогом. Например, если NTBackup работает на уровне файлов, то программа резервирования данных Win2k8 опустилась ниже. Для архивирования используется служба Volume Shadow Copy Service (VSS), и источник данных воспринимается уже на уровне томов и блоков. Такой метод обладает одним большим преимуществом – появилась возможность проводить как полное, так и дифференциальное резервное копирование, сохраняя только отличия.

При помощи Server Backup можно создавать полную копию сервера (все тома), отдельных томов и состояния системы. Таким образом, в случае краха можно быстро восстановить всю систему на новый жесткий диск. Кроме того, можно использовать резервную копию для восстановления и даже клонирования системы на сервер с аналогичным оборудованием.

Также стало возможным создавать мгновенные снимки раздела, что упростит работу с несколькими копиями и сэкономит место на диске. На тех разделах, где хранятся резервные копии, программа архивирования задействует возможности службы теневого копирования, поэтому в мгновенных снимках сохраняются только измененные блоки. Таким образом, если сохранить несколько полных копий раздела в один и тот же том, их суммарный размер будет на порядок меньше, чем ожидаемый.

По умолчанию нельзя сохранять резервную копию на том же томе. Попытавшись, получим сообщение: «ERROR - The location for backup is a critical volume». Хотя при желании ограничение можно обойти. Для этого запускаем программу regedit, переходим в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswbengine, создаем подключ SystemStateBackup, а в нем параметр с именем AllowSSBToAnyVolume. Задаем тип параметра DWORD, и чтобы разрешить сохранение резервных копий в любом разделе, устанавливаем его значение в «1».

Если при установке диск не разбивался на несколько разделов, это можно сделать при помощи инструментов Диспетчера сервера. Заходим в «Накопители» (Storage) – «Управление дисками» (Disk Management). Теперь выбираем раздел, размер которого требуется уменьшить, и в контекстном меню – пункт Shrink Volume. В появившемся окне будет выведена информация о занятом пространстве и предложено значение, на которое можно уменьшить размер раздела.

Так как система воспринимает разностную копию как полную, восстановление информации прозрачно (не нужно последовательно восстанавливать данные, как это делается при дифференциальном копировании). Но такой подход не лишен недостатков. Теперь нельзя сохранить в резервную копию файл или каталог, в любом случае приходится копировать весь том. Спасибо хоть, что нам под силу восстановить отдельный файл.

Еще одно удобство состоит в том, что резервные копии хранятся в формате виртуального диска Microsoft VHD (Virtual Hard Disk), который используется в MS Virtual PC 2004 и MS Virtual Server 2005. Такой образ можно подключить к работающей виртуальной машине и просто извлечь нужные файлы (загрузиться с него нельзя, так как комплектация оборудования не совпадает).

В небольших и средних организациях редко встретишь стример. Да и резервные копии проще сохранить на сетевом ресурсе или жестком диске. Вероятно, это одна из причин, почему программа архивирования данных Win2k8, в отличие от NTBackup, не поддерживает сохранение данных на ленточные носители. Вернее, поддерживает, но требуются сторонние разработки. Зато с ее помощью очень легко записать копию данных на USB-устройство или DVD-диск. Важно помнить, что при копировании данных на сетевые ресурсы или DVD-диски программа архивации уже не сможет работать со службой теневого копирования, а значит, все преимущества такого взаимодействия отсутствуют.

Размеры резервных копий в Win2k8, по сравнению с Win2k3, заметно увеличились. Например, при первом полном копировании после установки системы было запрошено чуть больше 7 Гб. Поэтому на ресурсах, куда будут сохраняться копии, должно быть достаточно свободного места. При планировании операций архивирования на нескольких системах также следует учитывать увеличившееся время создания архивных копий, чтобы избежать перегрузки сети.

Кстати, образы, созданные NTBackup, новая программа архивирования не понимает.

Установка Server Backup

Если зайти в меню «Архивирование данных Windows Server» (Windows Server Backup) в «Диспетчере сервера» (Server Manager) сразу после установки системы, то можно увидеть, что оно неактивно. По умолчанию компонент (Features) Server Backup не устанавливается, но это легко сделать при помощи того же «Диспетчера сервера». Переходим в Features, нажимаем ссылку Add Features и выбираем в списке компонентов «Архивирование данных Windows Server». Программа архивирования состоит из двух частей: собственно, программы «Архивирование данных» и средств командной строки. Последние являются командлетами PowerShell. Если PowerShell в системе не установлен, последует запрос на инсталляцию. Чтобы установить Server Backup в командной строке, достаточно ввести:

C:> servermanagercmd -install Backup-Features

В варианте Win2k8 Server Core для установки используется команда ocsetup:

C:> ocsetup WindowsServerBackup

Система резервного копирования в Win2k8 построена на клиент-серверной архитектуре. После установки в системе появляется новая «Служба резервного копирования» (Block Level Backup Engine Service, WBENGINE.EXE), которая и выполняет всю работу. Обрати внимание: ее запуск установлен в режим «Вручную» (Manual). Управление режимами работы сервиса осуществляется с помощью соответствующего компонента в «Диспетчере сервера». Также в меню «Администрирование» появится ссылка на оснастку MMC. Вызвать мастер создания резервной копии можно и из пункта «Свойства» – «Инструменты» (Tools) выбранного раздела харда. Для работы в командной строке используй утилиту Wbadmin. Можно управлять как локальной, так и удаленной системой.

Настройки копирования томов

Итак, открываем консоль. Если требуется создать резервную копию раздела удаленной системы, подключаемся к ней, выбрав Action – Connect To Another Computer. Далее вводим имя системы и учетные данные для управления.

Прежде чем бросаться в бой, познакомимся с еще одной важной настройкой, влияющей на производительность: Action - Configure Performance Setting («Настройка параметров производительности»). В появившемся окне Optimize Backup Performance можно выбрать один из трех вариантов использования службы теневого копирования томов. По умолчанию для всех дисков установлен режим полного копирования (Always Perform full backup). Скорость создания резервной копии в этом случае невелика, но зато меньше интенсивность дисковых операций. При выборе инкрементного копирования (Always Perform incremental backup) увеличивается скорость создания копии, а значит, и нагрузка на жесткий диск. Поэтому режим не рекомендуется для тех серверов, на которых установлены приложения, активно обращающиеся к HDD. Вариант Custom позволяет индивидуально выставить режим архивирования для каждого раздела – Full или Incremental.

Создание резервной копии

С помощью компонента «Архивирование данных» можно создавать копии в двух режимах: запланированное копирование и однократная операция. Выбираются они в подпунктах Backup Schedule и Backup Once. Мастера, запускающиеся в обоих случаях, в общем-то, одинаковы и отличаются только парой пунктов. Рассмотрим работу мастера Backup Schedule Wizard, при помощи которого создается расписание.

На первом этапе выбираем один из вариантов архивации. Это может быть «Весь сервер» (Full Server) – тогда архивируются все тома сервера – или Custom. В последнем случае администратор указывает на нужные разделы. В варианте «Весь сервер» невозможно сохранить копию на жесткий диск, только на сетевой ресурс или DVD. Зато в Custom, наоборот, нет возможности указать отличное от жесткого диска место хранения копии. Очевидно, это связано с тем, что при работе по расписанию некому будет менять DVD-диски, или сетевой ресурс может быть недоступен. При ручной архивации в варианте Backup Once предлагаются все варианты.

На следующем шаге выбираем периодичность создания резервной копии. Копию можно создавать «Раз в день» (Once a day), указав в раскрывающемся списке время выполнения этого задания. В списке интервал времени указан с шагом 30 минут. Для важных серверов можно использовать вариант «Несколько раз в день» (More that once a day). В этом случае отмечаем время и переносим цифры в правую колонку при помощи кнопки Add. К сожалению, нет возможности назначить более гибкое расписание, например, чтобы копии создавались только в рабочие дни (хотя можно прибегнуть к услугам планировщика заданий).

Затем предлагается выбрать конечный носитель. В строке Recommended disk size выдается рекомендуемый размер носителя.

В режиме Backup Once, в окне выбора источника, есть дополнительный флажок «Включить восстановление системы» (Enable system recovery). По умолчанию он активирован; в резервную копию будет включены: загрузочный том, том операционной системы и для контроллера домена том с каталогом SYSVOL.

Если предложенный диск не подходит, можно вывести весь список, нажав «Показать все доступные диски» (Show All Available Disk).

Создавать копию на рабочем томе нельзя. При выборе раздела жесткого диска появится предупреждение о том, что он будет отформатирован, а вся информация будет утеряна. Также в целях безопасности этот раздел не будет виден в «Проводнике». Сам процесс форматирования и формирования задания начнется после нажатия на кнопку Finish.

При повторном запуске мастера в режиме Backup Schedule будет предложено либо изменить текущее задание, либо остановить задачу. В режиме Backup Once можно сразу создать резервную копию с параметрами, указанными в активном задании (The same options …), или со своими установками (Different options).

Узнать, когда было выполнено или запланировано следующее задание, можно в окне консоли. Кроме этого, запись о проведенном копировании и его результат заносятся в журнал Event Viewer. Имеет смысл указать в настройках, чтобы Event Viewer отправлял сообщение о важных событиях по электронной почте. Для этого двойным щелчком выбираем событие, затем в появившемся окне в поле Actions нажимаем Attach Task To This Events. Далее – мастер нам в помощь. На третьем шаге Action отмечаем Send an e-mail – и в следующем окне заполняем данные для отправки сообщения.

Восстановление системы

Мастер восстановления запускается из окна Server Backup нажатием ссылки Recover. Его работа напоминает Backup Wizard, только здесь все наоборот. Сначала указываем, на какой компьютер будем восстанавливать данные, затем – дату создания резервной копии. Далее мастер предложит указать тип восстановления: каталоги и файлы, приложения или том и, наконец, сам восстанавливаемый объект. При необходимости можно задать дополнительные параметры: восстановить объект в другое место, сохранить старые файлы и т.д. Все это выбирается на предпоследнем шаге. После подтверждения выбора мастер начнет работу.

Программа архивирования поддерживает и автоматическое восстановление системы, для чего используется среда WinRE (Windows Recovery Environment). Поэтому если система не загружается, следует использовать установочный диск, в меню которого выбрать пункт «Восстановление системы» (Repair your computer). После чего будет предложено три варианта действий. Нас интересует «Полное восстановление компьютера Windows» (Windows Complete PC Restore). Как вариант, можно загрузиться и восстановить систему в командной строке. Далее WinRE предложит выбрать резервную копию, из которой будет производиться восстановление. В списке появятся все копии, которые будут найдены на диске, но можно указать и любой другой источник. При необходимости мастер восстановления позволит переразметить диск и отформатировать разделы. Подтверждаем свой выбор и ждем, пока закончится процесс восстановления.

Заключение

Несколько раз прогнав весь процесс, ты быстро освоишься с новыми функциями и настройками. Ничего сверхсложного здесь нет, поэтому проблем с восстановлением AD и данных на Win2k8 у тебя, скорее всего, не будет.

Создание бэкапов и восстановление в командной строке

Некоторые операции проще и быстрее выполнять в командной строке при помощи утилиты wbadmin. К тому же, создать резервную копию состояния системы можно только с ее помощью. Все доступные параметры команды можно просмотреть, введя «wbadmin /?». Подробное описание этой утилиты приведено на сайте Microsoft (go.microsoft.com/fwlink/?LinkId=93131). Для создания резервной копии системной области используется команда «wbadmin start systemstatebackup» с указанием диска, на котором будет размещена резервная копия. Например:

> wbadmin start systemstatebackup -backuptarget:D:

Вместо буквы раздела можно использовать его GUID-обозначение. При необходимости в командной строке можно задать и периодичность выполнения задания. Например, чтобы сохранять важные системные области на диск D: в 12 и 18 часов, пишем:

> wbadmin enable backup –allcritical –addtarget:d: -schedule:12:00,18:00

Чтобы отменить задание, используем команду «wbadmin disable backup».

Для восстановления перезагружаем контроллер домена в режим восстановления:

> bcdedit /set safeboot dsrepair

При восстановлении используется команда «wbadmin start systemstaterecovery», но параметров ей можно передать гораздо больше. Например, выполнив такую команду:

> wbadmin start systemstaterecovery -version:05/25/2008-19:20 -backupTarget:\servernameshare -machine:server

– мы восстановим архивную версию для машины server от 05/25/2008 (узнать доступные, можно введя «wbadmin get versions»), которая расположена на ресурсе \servernameshare. Если восстановление производится на другую машину, то добавляем параметр «–recoveryTarget».

INFO

Чтобы создавать резервную копию на любой раздел диска, заведи в реестре ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswbengineSystemStateBackup с параметром AllowSSBToAnyVolume, типом DWORD и значением «1».

Изменить размер любого раздела можно в консоли Управления дисками (Disk Management).

Для удобства в Event Viewer можно настроить отправку e-mail о важных событиях.

WWW

По адресу go.microsoft.com/fwlink/?LinkId=113147 доступна бета версия программы NTBackup, позволяющая восстановить бэкапы в Vista и Win2k8, созданные в ранних версиях системы (в WinXP и Win2k3).

Подробное описание установки Server Backup можно найти в документе «Step-by-Step Guide for Windows Server Backup in Windows Server 2008» по адресу go.microsoft.com/fwlink/?LinkId=113146.

WARNING

При сохранении копии на раздел жесткого диска этот раздел будет отформатирован, а все данные – уничтожены. Также, в целях безопасности, раздел не будет виден в «Проводнике».

Содержание
ttfb: 36.156892776489 ms